Alias: W32Badtrans.13312@mm, I-Worm.Badtrans, Iworm_Badtrans, Badtrans.A

Descubierto el 12 de Abril de 2001 in-the-wild se trata de un gusano de Internet residente en memoria, infecta los PC's que utilizan el sistema operativo Windows 95/98/ME/NT/2000.

“Badtrans” es un archivo ejecutable de Win32 (PE EXE file, se presenta de forma comprimida y tiene un tamaño de aproximadamente 13Kb en formato comprimido y de 40Kb cuando se descomprime.

Tiene una estructura multi-componente con varias partes que se cargan en el disco duro como tres archivos diferentes y son ejecutados como programas independientes: un componente dropper, un gusano de correo electrónico y un troyano.

La rutina del gusano constituye el componente principal, guarda el cuerpo del programa troyano en su código y se instala dentro del sistema mientras infecta nuevas máquinas.

El componente troyano permite a un usuario remoto no autorizado tomar el control sobre el sistema infectado y robar información confidencial. Además de robar la información confidencial, otro peligro que entraña el gusano es la posibilidad de paralizar los canales de transmisión de datos. Envía información de los ordenadores infectados a la dirección de correo electrónico : ld8d11@mailandnews.com

Cuando un usuario hace “clik” sobre el archivo infectado se ejecuta el código del gusano y éste toma el control e instala sus componentes en el sistema. Se copia en el directorio de Windows con el nombre INETD.EXE y carga el componente troyano en el directorio de Windows con el nombre de HKK32.EXE. El componente troyano se ejecuta y se cambia al directorio de sistema de Windows con el nombre KERN32.EXE, carga una librería adicional con el nombre HKSDLL.DLL.

Badtrans se registra asimismo como un archivo de nombre INETD.EXE en la sección auto-run del sistema. Bajo Win9x escribe el comando “run=” de la sección [windows] del archivo WIN.INI, por ejemplo:

[windows*
load=
run= C:.EXE

Bajo Windows NT/2000 se crea la siguiente clave de registro:

HKCUNT
RUN = C:.EXE

El componente troyano se instala en la clave RunOnce del registro como:

HKLM
Kernel132 = kern32.exe

Por lo que en cada arranque del sistema se cargará el gusano.

Para esconder su actividad cuando se ha completado la instalación en una nueva máquina, muestra un mensaje falso:

Install error
File data corrupt:
Probably due to bad data transmission or bad disk access.

El gusano no envía ningún mensaje infectado desde una máquina infectada cuando se arranca por primera vez pero si las veces sucesivas. La rutina del gusano se activará la siguiente vez que se inicia Windows cuando la copia del gusano se activa desde el archivo INETD.EXE.

El gusano se instala como un proceso oculto y no se activa hasta aproximadamente 5 minutos. Mientras se difunde, el gusano obtiene el control de las funciones MAPI de Windows, abre y lee todos los mensajes no leídos de la bandeja de entrada y los “responde” con mensajes infectados lo que puede bloquear los canales de transmisión de datos. La ejecución no termina hasta que Windows se reinicia por segunda vez, y vuelve a enviar mensajes infectados cada vez que llega un mensaje nuevo.

El mensaje infectado tiene un texto y un archivo adjunto. El archivo adjunto se selecciona aleatoríamente de entre las siguientes alternativas:

Pics.ZIP.scr
Images.pif
README.TXT.pif
New_Napster_Site.DOC.scr
News_doc.scr
Hamster.ZIP.scr
YOU_are_FAT!.TXT.pif
SearchhuuuURL.scr
SETUP.pif
Card.pif
Me_nude.AVI.pif
Sorry_about_yesterday.DOCPIF
S3mssong.MP3.pif
docs.scr
Humor.TXT.pif
Fun.pif

El asunto del mensaje enviado por el gusano es el mismo que el del mensaje original pero con el prefijo “Re”. El texto del mensaje es una respuesta al mensaje original. Si no contiene texto la respuesta del gusano se compone de sólo una línea:

>Take a look to the attachment

El gusano utiliza un truco para evitar responder al mismo e-mail varias veces o a sus propios mensajes recibidos desde otras máquinas infectadas. Para hacerlo el gusano añade dos espacios al final de la línea del “Asunto”, y no procesa dichos mensajes.

La protección de los dos espacios es para mensajes que ya han sido contestados, de cualquier forma esta protección no es válida para los mensajes que han sido recibidos desde otras máquinas infectadas. La gran mayoría de servidores de correo simplemente cortan todos los espacios al final de la línea de “Asunto”.

Como resultado, si un mensaje de correo electrónico llega a una máquina ya infectada es inmediatamente contestado por el gusano y reenviado. Entonces el gusano pone en marcha el trafico “bucle” con un número interminable de mensajes infectados.

Por lo tanto, el gusano puede causar un fallo en el servidor de correo electrónico porque no será capaz de procesar todos estos mensajes.